Article / 文章中心

解读如何安全快速建立IT治理环境

发布时间:2021-11-26 点击数:177

背景

image.png
云计算经过十多年的发展,从基础的IAAS,大数据,到各种的PaaS有丰富的产品和生态,非常有效地助力了业务增长和技术创新,并提高了业务的效率。最直观的感受是过去需要几天到一个月的资源交付,现在只需要秒级就可以实现。

但在获得云的高效的同时,我们也会发现很多企业因为缺少统一的管理治理规划会遇到以下这些问题:

  • 第一类是身份风险。例如出现风险操作没有办法追溯到责任人,或把AK写在代码里面,不小心泄露出去,导致IT资产被黑客控制,又或是员工离职后不能及时收回权限,员工进行恶意操作等这些都是身份领域可能会遇到的风险。
  • 第二类是成本失控。常见的问题是企业上云之初没有管控,多员工进行云资源无限制的购买,造成成本失控。或企业资源从属于多个账号,因检测困难造成资源闲置、无法复用的问题。
  • 第三类是管理挑战。例如没有好的规划,运维人员因为业务的需要随意申请一些网络,导致出现网段的冲突。又例如没有标准化的规范,导致只能够人肉运维,无法自动化,稳定性受到挑战,整体运维效率低。
  • 第四类是合规上的风险。由于国家的监管要求会越来越严格,做等保合规的时候,很多企业才发现其实自己有很多漏洞。那这些漏洞其实是上云之初没有做好合理的规划,没有设置安全基线导致的。

那企业如何尽量避免这些风险,从而高效快速的进行云落地呢?

image.png
上述这些问题表面上看起来分散,但是在实践过程中,是否统一规划治理会对企业上云效率带来较大的影响。阿里云在服务众多企业客户过程中,总结发现企业客户上云存在以下两种类型:

  • 一类是治理优先型企业,例如较成熟的跨国企业,由于IT 管理方面已有较成熟的经验和体系。所以在上云之前,就会向阿里云提出非常准确的 IT 管理需求,把网络合规安全、财务和运维等基础的治理框架在业务上云前搭建好,之后在上云的过程中就可避免上述这些IT治理的问题,可快速的交付资源,更快的享受云的高效便捷,实现云价值的最大化。
  • 另外一类是业务优先型企业,例如互联网企业,由于处于业务增长期,更加看重业务的敏捷性。如果在上云的初期没有做统一的治理规划,在业务上云的过程中,问题就会逐渐暴露出来,比如身份泄露,网络地址冲突等,这时就需要投入大量的人力物力不断的修补这些问题,影响业务云上交付的效率。另外,在修补的过程中,如果没有长远的考量,只是临时制定方案去解决问题,可能会为未来留下更大的隐患,整体的上云曲线会更加漫长。

从以上两类客户的分析可以发现,无论客户是业务优先还是治理优先的方式上云,都需要从上云初期有统一的治理管理规划,才能够让企业在云上的IT管理更加顺畅。

那这个治理管理的规划是否有方法,如何在企业中落地?云治理中心就是我们实施落地的重要产品。

云治理中心定位

image.png
云治理中心是为企业提供统一的云资源管理治理的平台。一方面云治理中心提供友好的向导,可以降低学习门槛,一站式快速搭建LandingZone上云框架。

另外一方面云治理中心提供了对治理情况的持续观测跟踪,当企业的业务、合规要求发生变化的时候,便于维护和更新,保障云上环境始终能够符合企业的需求。

云治理中心的核心功能
image.png

具体来说,云治理中心具备以下这些核心能力:

  • 第一个是帮助企业分析当前的治理现状,一般操作系统都有一个root或者admin管理员账号。但在阿里云上,我们建议客户使用多账号的管理结构,需要创建一个最高权限云账号,称为master账号,它可以管理整个企业的云资源。这个账号的安全要求非常高,因此如何决策非常关键。对于初次上云的企业,云治理中心可以把当前的空白账号设定为管理员账号。对于已经在云上开展业务的企业,云治理中心可以分析当前的账号情况,帮助客户决策是否需要优化,或者要创建一个新的管理账号。
  • 第二个能力是自动化配置多账号环境,多账号是landingzone上云框架的基础,云治理中心可以帮助客户规划当前的多账号结构,包括商业关系,资源目录,和必要的职能账号,如日志、共享服务账号等。
  • 第三个能力是设置合规基线,很多客户有合规的需要,但是不知道应该如何设定,哪些是必要的合规规则。云治理中心会给企业推荐可用的合规规则,主要利用阿里云的配置审计的能力和管控策略的能力,这些规则策略会自动应用到企业下的所有账号,不需要客户对每个账号都进行配置,能够保障企业中所有的云账号都受到监管,从而降低业务风险。
  • 第四个能力是正在开发的账号创建能力,称为账号工厂。在最佳实践中,我们建议每个独立的业务单元都创建一个账号进行管理,方便结算、资源和权限的隔离。但是一个新的账号要受到企业的监管并且需要预先设定企业的合规配置,比如安全组、标签、用户角色等,是比较复杂的过程。通过云治理中心的账号工厂,可以很便捷的创建一致的合规云账号,快速交付给业务团队使用。对于业务团队而言,他们拿到这样的账号,不需要过多关心安全、网络和资源的合规权限,只需要专注业务的需求创建云资源 ,把业务迁移上云即可。
  • 第五个功能是可持续治理,通过云治理中心监控企业中所有账号资源是否合规,包括企业资源目录是否被改动,是否有私自创建的权限,是否有哪个账号不符合基线要求出现了风险,哪个账号有欠费等。另外在云治理中心可以提升资源跨账号的可观测性,管理员能够观测到企业所有资源的分布情况和变化趋势。

云治理中心的场景

image.png
从场景上看,当企业遇到以下问题的时候,可以通过云治理中心进行统一的治理。

第一个是有大量的账号缺少统一管理。由于各个云账号分属各个业务线管理,企业无法获知到底有多少账号,这些账号管理不善可能导致企业数据的泄露。

第二个是企业的员工账号管理混乱。企业部分账号存在过大授权,离职员工账号没有统一回收,导致可能存在被恶意操作的风险。

第三个是企业需要符合内外部监管的要求,对日志进行统一归集,设定统一的合规规则。

开通

以上介绍了如何使用云治理中心搭建统一的IT治理环境,大家若感兴趣可以通过在阿里云官网搜索“云治理中心”开通试用。